Google Chrome Passwörter UNSICHER?!?!

W

wheyy

Komplett-PC-Käufer(in)
Google Chrome Passwörter UNSICHER?!?!

Bei Google Chrome werden ja Passwörter grundsätzlich gespeichert, und man hat in den Einstellungen die Möglichkeit für jede Website das Passwort nachzuschauen. Das ist ohne Hindernis für JEDEN möglich, solange es kein Admin-Passwort für den PC gibt. Das ist natürlich ein kleiner Wahnsinn, mal angenommen man ist auf der Uni und verlässt seinen PC mal für 2min wegen einer Klopause. Andererseits ist diese automatische Hinterlegung des Passworts oft auch sehr nützlich, z.B. bin ich nicht oft hier im Forum, und hätte ohne der Speicherung des PW's mich jetzt gar nicht hier einloggen können. Daher ist es für mich keine Option, diese Funktion in Chrome komplett zu deaktivieren.
Auch will ich kein generelles Passwort zum Einloggen in mein Windows.

Zum Beispiel, zuhause in meiner WG, will ich nicht jedes mal das Passwort manuell eingeben. Trotzdem will ich nicht, dass jemand die Möglichkeit hätte, mit ein paar Klicks ALLE meine Passwörter zu sehen. Ich wohne in einer WG und da sind oft Leute im Haus, die man nicht kennt und das will ich einfach nicht riskieren.



Es muss doch eine Möglichkeit geben, einfach für diesen letzten Einsehungsschritt bei Chrome ein PW Aufforderung zu machen, die komplett unabhängig von Windows oder sonstigen Passwörtern ist?

Das selbe Problem hat man natürlich am Android-Handy. Nagut, da habe ich natürlich ein generelles PIN-Passwort, da mir das Risiko viel zu hoch ist mal mein Handy zu verlieren.
 
AW: Google Chrome Passwörter UNSICHER?!?!

Du müsstest dich vermutlich in Chrome aus deinem Google-Konto abmelden, wenn du den Laptop unbeaufsichtigt lässt.

Oder du nutzt einen anderen Dienst um die Passwörter zu speichern. Ich nutze Bitwarden. Da hat man ein unabhängiges Passwort, das einmal pro Sitzung eingegeben werden muss (oder je nach Einstellung regelmäßig). Dann würde es reichen den Browser zu schließen um die Passwörter zu sperren.

Meiner Meinung nach ist es aber sowieso keine gute Idee seinen Laptop in der Öffentlichkeit ohne Passwort unbeaufsichtigt stehen zu lassen. Lieber ein kurzes Passwort für Windows. Mit etwas Übung, ist das auch schnell eingegeben. Sperren geht dann auch ganz fix mit Windows-Taste + L.
 
AW: Google Chrome Passwörter UNSICHER?!?!

wheyy schrieb:
Es muss doch eine Möglichkeit geben, einfach für diesen letzten Einsehungsschritt bei Chrome ein PW Aufforderung zu machen, die komplett unabhängig von Windows oder sonstigen Passwörtern ist?
Zum Vergrößern anklicken....

Der Schritt zum Einsehen selbst ist völlig unwichtig.

Das Passwort wird auf deiner Festplatte gespeichert. Entweder liegen die Daten dort unverschlüsselt (dann kann sie jeder sehen, indem er die Datei öffnet) oder sie sind verschlüsselt. In dem Fall musst du entweder einmal dein Passwort eingeben, um die Passwortliste zu öffnen, oder jedes mal wenn du dich irgendwo anmelden möchtest.

Chrome speichert die Passwörter tatsächlich verschlüsselt. Allerdings wäre es sinnlos, wenn du beim Browserstart jedes mal ein Passwort eingeben müsstest. a) möchtest du das ja nicht, und b) wären deine Passwörter bei laufendem PC danach wieder für jedermann sichtbar, das Passwort wäre also ziemlich nutzlos.

Stattdessen benutzt Chrome eine Windowsfunktion, um die Passwörter zu verschlüsseln. Diese Funktion benutzt effektiv das Passwort deines Benutzeraccounts als Schlüssel. Mehr Infos hier, falls es dich interessiert: CryptProtectData function (dpapi.h) | Microsoft Docs

Damit wird sichergestellt, dass ein Dieb deine Passwörter nicht sehen kann, wenn er z.B. deinen Laptop klaut, denn dazu bräuchte er dein Systempasswort.
Im laufenden Betrieb sind deine Passwörter aber weiterhin unsicher, denn solange dein PC läuft kann jeder diese Windowsfunktion nutzen, um die Passwörter zu entschlüsseln. Deswegen würde es auch nichts bringen, wenn Chrome eine zusätzliche Passwortabfrage einbaut, bevor die Passwörter angezeigt werden: Wenn jemand deine Passwörter sehen möchte, könnte er auch einfach die Passwortdatei öffnen und die Passwörter von Windows entschlüsseln lassen.

Wenn du kein Passwort an deinem PC eingeben möchtest, kann dir also niemand helfen, denn ohne Passwort kann man die Daten nicht verschlüsseln. Analog zum Handy müsste man am PC eben die Bildschirmsperre verwenden und jedes mal sein Passwort eingeben, wenn man den PC bedienen möchte.
 
AW: Google Chrome Passwörter UNSICHER?!?!

wheyy schrieb:
mal angenommen man ist auf der Uni und verlässt seinen PC mal für 2min wegen einer Klopause.
.....
Auch will ich kein generelles Passwort zum Einloggen in mein Windows.
Zum Vergrößern anklicken....
Ich hoffe, Du studierst Geisteswissenschaften und nichts mit Technik. Wer an Orten mit Publikumsverkehr seinen Rechner ungesperrt und unbeaufsichtigt stehen lässt, hat es nicht anders verdient. Im späteren Berufsleben erhälst Du dafür mit Pech eine Abmahnung.

wheyy schrieb:
Zum Beispiel, zuhause in meiner WG, will ich nicht jedes mal das Passwort manuell eingeben.
Zum Vergrößern anklicken....
Dann nutzt halt irgendwas von Windows Hello oder ein triviales Passwort,, welches dann vorher zumindest jemand ausspionieren muss.

wheyy schrieb:
Ich wohne in einer WG und da sind oft Leute im Haus, die man nicht kennt und das will ich einfach nicht riskieren.
Zum Vergrößern anklicken....
Ich lasse mein Handy auch nicht offen irgendwo rumliegen wenn ich den Leuten nicht traue.

Laudian schrieb:
Im laufenden Betrieb sind deine Passwörter aber weiterhin unsicher, denn solange dein PC läuft kann jeder diese Windowsfunktion nutzen, um die Passwörter zu entschlüsseln. Deswegen würde es auch nichts bringen, wenn Chrome eine zusätzliche Passwortabfrage einbaut, bevor die Passwörter angezeigt werden: Wenn jemand deine Passwörter sehen möchte, könnte er auch einfach die Passwortdatei öffnen und die Passwörter von Windows entschlüsseln lassen.
Zum Vergrößern anklicken....
Mit welcher Windows-GUI oder welchem einfach zu merkenden Powershell-Aufruf geht das denn?

Oder gibt es einen Link dazu, dass Chrome so stümperhaft vorgeht und man damit die PW-Datei bei aktivem Account einfach so entschlüsseln kann. Klar, mit einem passenden Programm würde das immer gehen, da müsste man aber schon einges mehr an krimineller Energie mitbringen wie "nur mal eben" die Datei mit Boardmitteln zu öffnen.

Mir fällt jedenfalls kein Grund ein, warum Chrome (oder wohl auch FF) alle Passwörter unverschlüsselt darstellen kann. Ein Browser muss die Passwörter niemals irgendwo als Liste anzeigen, sondern nur gezielt für das gerade genutzte Login der Webseite entschlüsseln. Export/Import und die unverschlüsselte Darstellung alls PWs sind Aktionen, die man mind. optional mit einem weiteren PW absichern könnte. Aber Browser waren noch nie wirklich für (lokale) Sicherheit bekannt.
 
AW: Google Chrome Passwörter UNSICHER?!?!

fotoman schrieb:
Klar, mit einem passenden Programm würde das immer gehen, da müsste man aber schon einges mehr an krimineller Energie mitbringen wie "nur mal eben" die Datei mit Boardmitteln zu öffnen.
Zum Vergrößern anklicken....

Ich sehe nicht, dass man großartig kriminelle Energie mitbringen muss um ein kleines Programm runterzuladen und auszuführen.

Allerdings geht es auch direkt in der Powershell. "Leicht zu merken" ist natürlich Ansichtssache, aber es ist nur eine Zeile...

Code: 
# encrypt password
$pwd='Pas@$*Wrd(*' | ConvertTo-SecureString -AsPlainText -Force

# decrypt password
$bstr=[System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($pwd)

CryptUnprotectData from powershell (Erste Antwort, kann man leider nicht direkt verlinken)
 
AW: Google Chrome Passwörter UNSICHER?!?!

Naja lange rede kurze Sinn, läuft darauf aus dass ich so ein ext. Programm verwenden werde.
Hier wurde Bitwarden genannt. Auch gehört habe ich KeePass. Ist am Ende dann wurscht was man nimmt oder?
 
AW: Google Chrome Passwörter UNSICHER?!?!

Kommt immer drauf an, was du brauchst bezüglich Synchronisation mit Android, iOS und wasauchimmer. 1Password ist sehr gut aber auch unheimlich teuer
Enpass benutze ich, das kostet pro Plattform einmalig 12€ (war früher mal weniger), wobei die Desktop Version mehr oder weniger umsonst ist. Die haben auch ein schönes Browserplugin für chromiumbasierte Browser.

Um dir was empfehlen zu können müsste man erstmal wissen, worauf es denn genau laufen soll und ob du eine Synchronisation zwischen verschiedenen Geräten möchtest.
 
AW: Google Chrome Passwörter UNSICHER?!?!

Hey,

also mein Desktop läuft auf Win 8.1, und um den geht es hauptsächlich.
Handy ist Android 7.x ist aber wie gesagt mit der Bildschirmsperre eig eh schon gesichert.
Mein Laptop ebenso mit Windows Admin Passwort gesichert.
 
AW: Google Chrome Passwörter UNSICHER?!?!

Dann würde ich einfach mal Enpass empfehlen. Ist für den Desktop kostenlos, außer du möchtest Passwörter unbedingt in Kategorien unterteilen und ein Dark Theme haben.

Wenn du dich das erste mal irgendwo anmelden möchtest, musst du dann dein Master-Passwort eingeben, anschließend reicht es aus, eine kurze PIN einzugeben für weitere Logins. Aber das kann man alles einstellen.
 
AW: Google Chrome Passwörter UNSICHER?!?!

KeePass ist ganz in Ordnung. Ihm wird regelmäßig auch von unabhängigen Experten bescheinigt, ziemlich sicher zu sein.
Dazu ist es recht nutzerfreundlich, solange du in KeePass angemeldet bist, kannst du Logins automatisiert durchführen, mit einem Klick oder nach Ablauf eines Timers kann es sich selbst sperren.

Grundsätzlich würde ich immer empfehlen, deinen Rechner zu sperren, wenn du ihn unbeaufsichtigt in der Öffentlichkeit lässt.
Falls du keine Lust hast, jedes mal ein Passwort einzutippen, nimm eine SmartCard oder einen USB-Stick zum Sperren/Entsperren.


Ich persönlich finde es am einfachsten, ein Passwort zu nutzen.
 
AW: Google Chrome Passwörter UNSICHER?!?!

Hey Leute,
also Enpass läuft, das Importieren der .csv Datei mit den Passwörtern hat auch sehr viel Zeit gespart.
Leider bin ich nicht imstande, Google Chrome außer Fecht zu setzen.

Also in Enpass ist alles konfiguriert, das Master-PW sitzt, also ist es ja jetzt Zeit in Chrome die Passwörter zu löschen und die autom. Loginfunktion zu deaktivieren. Tja, ich weiß nicht wie das geht.
Wenn ich über Einstellungen -> Passwörter -> "Speichern von Passwörtern" den Haken rausmache, ändert sich NICHTS. "Automatisch anmelden" ist auch raus.
Scheint nur für zukünftige Vorgänge dann zu funktionieren.
Muss ich jetzt jeden einzelnen Eintrag da in der Liste manuell rauslöschen??

Chrome Experten bitte um Hilfe :D!
 
AW: Google Chrome Passwörter UNSICHER?!?!

Wieviele Passwörter hast du bitte gespeichert, dass es schneller wäre, hier eine Lösung zu erfragen, als sie einfach manuell zu löschen?!

Ansonsten lösch doch einfach die Datei. Diese ist bei Windows hier:
%localappdata%/Google/Chrome/User Data/Default/Login Data
Zum Vergrößern anklicken....
 
AW: Google Chrome Passwörter UNSICHER?!?!

Laudian schrieb:
Allerdings geht es auch direkt in der Powershell. "Leicht zu merken" ist natürlich Ansichtssache, aber es ist nur eine Zeile...
Zum Vergrößern anklicken....
Ok, es muss also jemand einen SQLite-Explorer (per USB-Stick) starten, die Passwörte einzeln aus der SQLite-DB kopieren und dann einzeln entschlüsseln.

Und das unter der Annahme, dass Google keinen weiteren Salt nutzt, der individuell für den PC/User erstellt wird (und den man dann vorher auch noch auslesen müsste). Ich finde für Chrome zum Übertragen der PWs auf einen neuen Computer nur die Variante des Ex- ud Imports und nicht sowas (horrormäßiges) wie bei FF, wo man die komplette PW-DB kopieren kann.

Für Chrome finde ich vielmehr ein paar Forenbeiträge, wonach das einfache Kopieren der "Login Data" nicht funktioniert haben soll. Entweder hat der User dann auf dem anderen PC einen anderen Account oder es gibt doch einen Salt, der individuell für jeden Computer erzeugt wird.

Klar kann man sich vorher ein passendes Tool schreiben (oder irgendwo im Netz suchen) und dieses nutzen. das ist dann genauso, wie man meist irgendwie an einen kompletten Memory-Dump des ungesperrten Rechners kommen könnte und damit mit etwas Glück auch das Master-Passwort des gerade geschlossenen KeyPass rekonstruieren kann.

wheyy schrieb:
Also in Enpass ist alles konfiguriert, das Master-PW sitzt
Zum Vergrößern anklicken....
Dann aber nur nicht aus Faulheit vergessen, Dich wenigstens dort auszuloggen, wenn Du den Rechner mal wieder ungeschützt irgendwo stehen lässt. Ich hätte bei sowas ja viel mehr Angst, dass mit jemand in ein paar Sekunden einen Trojaner auf den Rechner spielt wie dass jemand im Chrome Passwörter abschreibt.

Den Sinn hinter Enpass verstehe ich sowieso bei Dir nicht. Ob Du Dir ein Windows-PW merkst, oder eins für Enpass, ist doch vollkommen egal.
 
AW: Google Chrome Passwörter UNSICHER?!?!

fotoman schrieb:
Ok, es muss also jemand einen SQLite-Explorer (per USB-Stick) starten, die Passwörte einzeln aus der SQLite-DB kopieren und dann einzeln entschlüsseln.
Zum Vergrößern anklicken....

ChromePass - Chrome Browser Password Recovery for Windows

USB-Stick rein, doppelklicken und man hat alle Passwörter in Klartext vor sich. Das braucht jetzt wirklich keine große kriminelle Energie, und Hacker muss man dazu auch nicht sein.

fotoman schrieb:
Für Chrome finde ich vielmehr ein paar Forenbeiträge, wonach das einfache Kopieren der "Login Data" nicht funktioniert haben soll. Entweder hat der User dann auf dem anderen PC einen anderen Account oder es gibt doch einen Salt, der individuell für jeden Computer erzeugt wird.
Zum Vergrößern anklicken....

Die Verschlüsselungsfunktion von Windows nutzt einige Dinge wie Hardware-ID etc, damit man die Passwörter nicht an anderen Rechnern entschlüsseln kann. Solange man Zugriff zu dem Rechner hat und der Benutzer angemeldet ist, kann man aber alles in Klartext auslesen.
 
AW: Google Chrome Passwörter UNSICHER?!?!

Geht darum dass ich weiterhin will, dass 2-3 Personen Zugriff auf meinen PC haben. Denen vertrau ich auch, aber ich kann nicht verantworten, dass die rund um die Uhr dabei sitzen, wenn bei einer kleinen Feier mal jemand neben dem Spotify DJ meint, den Chrome PW-DJ zu spielen.
 
AW: Google Chrome Passwörter UNSICHER?!?!

wheyy schrieb:
Geht darum dass ich weiterhin will, dass 2-3 Personen Zugriff auf meinen PC haben. Denen vertrau ich auch, aber ich kann nicht verantworten, dass die rund um die Uhr dabei sitzen, wenn bei einer kleinen Feier mal jemand neben dem Spotify DJ meint, den Chrome PW-DJ zu spielen.
Zum Vergrößern anklicken....

Wie wärs mit nem "Gast" Benutzeraccount?

Ansonsten KeePass + ein passendes Browser-Plugin (benutze selbst kein Chrome) um Passwörter sicher zu speichern.
Zusätzlich eine Windows PIN festlegen, so schützt man sich vor neugierigem Besuch, das muss ja nichts kompliziertes sein. Es bietet sowieso keine wirkliche Sicherheit. Wenn jemand den PC klaut oder längere Zeit daran verbringen kann, kann er auch dann auf alle Daten zugreifen.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

Bullz
Google Passwortmanager Passwort nach Update Passwort leider vorausgefüllt
Antworten
0
Aufrufe
14K
Bullz
Bullz
L
Kann ich mich mit KeypassXC bei einer Windows 11 Neuinstallation wieder einloggen ?
Antworten
0
Aufrufe
4K
Lighterfire10
L
PCGH-Redaktion
News Google führt Passkeys ein: Der "Anfang vom Ende" für Passwörter
Antworten
10
Aufrufe
2K
Cruach
Cruach
P
Kaputten Laptop entsorgen, erst Festplatte zerstören?
Antworten
6
Aufrufe
3K
Hellhammer
Hellhammer
svenwe77
Erfahrungen mit etwas sicherem Mail-Provider
Antworten
2
Aufrufe
10K
Waylinkin
Waylinkin
Oben Unten
Zurück